Riconoscere e prevenire le frodi nel commercio online I Blog

08 / 09 / 2022

Smascherare i molteplici trucchi dei truffatori non è sempre facile per gli esercenti online. Scopri nel blog quali sono le tipologie di truffe più diffuse e come puoi proteggerti per scongiurare danni finanziari.

woman working on the laptop

Ecco come proteggo il mio web shop dai truffatori

Per quanto la pandemia da coronavirus abbia portato ad un boom incoraggiante del commercio online, purtroppo sono aumentati di conseguenza anche i tentativi di frode online, poiché i criminali cibernetici tentano di sfruttare la situazione attuale. Smascherare i vari trucchi dei truffatori non è sempre facile per gli esercenti online. Se a causa di una frode si verifica un’inadempienza nei pagamenti, per te in quanto gestore di un negozio i costi possono essere elevati. Tuttavia, in molti casi è possibile contrastare i tentativi di frode se si rilevano in tempo utile delle anomalie nell’ordine o nel processo di ordinazione. Il presupposto è un’adeguata sensibilità nell’esecuzione delle commesse o in un’implementazione efficace ed efficiente dei controlli.

In questo articolo sul blog di Saferpay, scoprirai come si comportano i truffatori online, come è possibile riconoscerli e come tu, in quanto esercente, puoi proteggerti dalle frodi per scongiurare eventuali danni finanziari.

 

Le 4 tipologie di truffe più diffuse nell’e-Commerce

Per non cadere nella rete dei truffatori e, in quanto esercente, essere preparato in modo efficace contro i tentativi di frode e manipolazione, è importante conoscere i vari scenari delle frodi e poter quindi reagire già ai primi segnali d’allarme.

1. La perdita dei dati della carta

I dati necessari per un pagamento e-Commerce, come il numero della carta, il nome, la data di scadenza e il codice di verifica della carta, possono facilmente “essere persi”: in fondo, sono stampati sulla carta e ben visibili a chiunque. È sufficiente un breve momento di disattenzione, magari alla reception dell’hotel o al bar sulla spiaggia , perché un abile truffatore faccia una foto della carta a tua insaputa. Anche online esistono tanti casi possibili in cui i dati della carta possono finire nelle mani sbagliate: ad esempio con un attacco phishing, ovvero quando il titolare di una carta inserisce i suoi dati su un sito non sicuro, condividendoli a sua insaputa con il truffatore. Oppure quando i dati della carta sono già memorizzati su un sito e gli hacker possono accedervi senza autorizzazione.

Dopo un attacco hacker a un esercente online andato a buon fine, spesso i dati delle carte rubati vengono messi in vendita al mercato nero nel cosiddetto “darknet”. Qui possono essere acquistati anonimamente dai truffatori online. Tuttavia, i dati delle carte ottenuti dagli hackeraggi online sono generalmente incompleti, in quanto non è mai possibile memorizzare anche il codice di verifica della carta degli esercenti e dei fornitori del servizio di pagamento (come Saferpay). Pertanto, in molti tentativi di pagamento, i truffatori provano spesso ad indovinare i dati mancanti. L’importo della transazione che inseriscono è infatti modesto, in modo da non attirare l’attenzione, tutt’altro che desiderata. In caso di furto completo dei dati della carta con codice di verifica della carta incluso, spesso ci si devono aspettare degli importi di grande entità.

Presta attenzione agli indizi seguenti

  • Un numero elevato di tentativi di acquisto non andati a buon fine con un importo della transazione perlopiù di piccola entità
  • Il nome del titolare della carta non coincide con il nome dell’indirizzo di spedizione
  • Un importo della transazione insolitamente elevato
     

2. Truffa tramite acquisizione dell’account

La truffa tramite acquisizione dell’account ("Account Takeover”, acronimo ATO) si verifica quando un truffatore riesce ad accedere ad un profilo cliente nel tuo web shop e, in seguito, al nome del tuo cliente, riuscendo quindi ad effettuare acquisti con i mezzi di pagamento registrati nello shop. Questo tipo di furto d’identità è ad es. possibile se il tuo cliente ha scelto una password facile da indovinare oppure se, per esempio, la password del suo account e-Commerce può essere compromessa a causa di un attacco phishing. Un’altra variante prevede che un truffatore abbia attaccato l’account e-mail del tuo cliente e tramite questo possa ugualmente accedere al profilo cliente nel tuo shop, arrecando quindi danni finanziari.

Presta attenzione agli indizi seguenti

  • Tentativi di accesso molto frequenti da parte di un cliente
  • La password dell’account cliente è stata reimpostata di recente
  • Il nome o l’indirizzo del cliente sono cambiati
  • Il nome del titolare della carta non coincide con il nome dell’indirizzo di spedizione
     

3. Truffa della prenotazione

Per i truffatori il metodo più facile e comodo per ottenere direttamente del denaro è di ordinare delle merci a nome di un cliente. Per questo motivo la cosiddetta truffa della prenotazione, che riguarda specialmente il settore alberghiero, gode di grande popolarità tra i truffatori: tale frode consiste nel prenotare un soggiorno in hotel per un periodo di tempo più lungo con i dati della carta rubati, per poi cancellarlo con un pretesto, richiedendo un accredito su un’altra carta di credito o un altro conto. Il legittimo titolare della carta solleciterà ugualmente una contestazione di addebito (chargeback) non appena noterà la perdita.

Presta attenzione agli indizi seguenti

  • Importi tanto elevati da destare sospetti
  • Rimborso su un mezzo di pagamento diverso da quello utilizzato per la prenotazione
  • Dati del cliente diversi, ad es. comunicazione tramite un altro indirizzo e-mail
  • Per lo storno della prenotazione vengono addotti dei motivi speciosi, spesso una malattia, un incidente o un caso di emergenza medica in famiglia
     

4. Friendly Fraud

La Friendly Fraud (“truffa amichevole”) consiste in un acquisto online in cui un cliente ha pagato con una carta di credito o di debito e in seguito richiede una contestazione di addebito (chargeback) invece di un rimborso da parte dell’esercente. Nella maggior parte dei casi non vi sono però intenzioni fraudolente. Ad esempio, se si ordina un prodotto online e poi si dimentica di averlo fatto: esaminando il conteggio della carta, il titolare della carta può non ricordare la procedura effettuata e contestare il pagamento. Oppure se un bambino senza sorveglianza ha accesso a un dispositivo su cui sono registrati i dati della carta di credito. In singoli casi esistono però anche dei clienti che semplicemente negano di aver ricevuto la merce, puntando così a ottenere un vantaggio. Purtroppo casi simili possono essere individuati molto difficilmente.

Presta attenzione agli indizi seguenti

  • Molteplici difficoltà con lo stesso cliente
  • Rischio elevato in caso di beni digitali e acquisti in-app

 

Autenticazione forte del cliente contro le frodi online

I fornitori dei servizi di pagamento e le banche si affidano a un’autenticazione forte del cliente ("Strong Customer Authentication”, acronimo SCA) tramite autenticazione a 2 fattori per contrastare le frodi online: oltre all’inserimento dei dati della carta o di un wallet login, viene richiesto un altro fattore (cellulare, password, impronta digitale, ecc.) al fine di verificare l’identità del soggetto pagante. Se il login è avvenuto con un’autenticazione forte del cliente, la frode è estremamente improbabile.

Con Saferpay, in quanto esercente online e in caso di mezzi di pagamento 3-D Secure, come Visa e Mastercard, puoi esigere un’autenticazione forte del cliente, impostando il flag “ThreeDsChallenge” su “FORCE” nell’API. Ciò è opportuno se già prima della richiesta di autorizzazione sai che si tratta di una transazione particolarmente rischiosa (ad es. l’importo della transazione è insolitamente elevato) o se hai rilevato delle attività sospette che possono indicare la perdita dei dati della carta o un furto d’identità.

Maggiori informazioni sulla “FlagThreeDsChallenge” sono disponibili nella nostra documentazione API e nella Integration Guide Saferpay al capitolo 3-D Secure - Parametri opzionali.

 

Ecco come riconoscere l’inversione di responsabilità: chi paga in caso di danni?

Di norma, tu in quanto esercente ti assumi tutti i rischi in caso di frode online e quindi anche i costi. L’inversione di responsabilità ("Liability Shift") sussiste solo se l’emittente della carta o il fornitore del servizio di pagamento sono disposti ad assumersi la responsabilità della singola transazione. In caso di pagamenti 3-D Secure, tu in quanto esercente benefici quasi sempre dell’inversione di responsabilità e sei quindi al sicuro. Ti assumi il rischio in caso di mezzi di pagamento senza autenticazione forte del cliente e 3-D Secure, in caso di pagamenti al di fuori dello spazio PSD2 (dove 3-D Secure non è supportato da tutti i soggetti emittenti) e in casi eccezionali ("Exemptions”) richiesti dall’esercente.

In linea di massima, vale quanto segue: se ha avuto luogo un’inversione di responsabilità e poi si arriva a una contestazione di addebito (chargeback), allora sarà il fornitore del servizio di pagamento ad assumersi i costi. L’inversione di responsabilità non costituisce però la garanzia che non si tratta di una truffa!

Riconoscere l’inversione di responsabilità e l’autenticazione forte del cliente in Saferpay

Transaction image

Nei dettagli di transazione presenti nel Backoffice Saferpay, puoi riconoscere con esattezza se esiste un’inversione di responsabilità e se ha avuto luogo un’autenticazione forte del cliente:

  • nel primo paragrafo Dettagli di pagamento il campo Inversione di responsabilità indica se sussiste un’inversione di responsabilità. Esempio: “sì (Visa Secure)”
  • Se si tratta di un pagamento 3-D Secure, nel paragrafo Autenticazione 3-D Secure vengono visualizzati altri dettagli 
  • Il campo Tipo di autenticazione indica se ha avuto luogo un’autenticazione forte del cliente. Esempio “forte”.

 

Consigli generali per scongiurare le frodi online

Presta attenzione agli aspetti seguenti

  • L’importo della transazione è insolitamente elevato?
  • Hai ottenuto un’inversione di responsabilità?
  • Ha avuto luogo un’autenticazione forte del cliente?
  • Vi sono più transazioni dello stesso mezzo di pagamento o cliente nel giro di breve tempo?
  • Vi sono state modifiche all’account che potrebbero indicare un furto d’identità o la perdita dei dati della carta?
  • Il Paese emittente della carta coincide con il Paese dell’indirizzo IP e di spedizione?
  • L’indirizzo di spedizione è in un Paese verso cui normalmente non effettui spedizioni oppure le effettui raramente?
  • Si tratta di un nuovo cliente che utilizza un indirizzo e-mail composto da una combinazione di numeri e lettere (ad es. skyblue123@gmail.com) di un provider gratuito?

Cosa puoi fare

  1. In linea di massima, emetti sempre gli accrediti solo sul mezzo di pagamento utilizzato per la transazione originale.
  2. Se il tuo assortimento di prodotti contiene un articolo ad alto rischio di frode, per l’acquisto di tale articolo e in caso di importi di transazione insolitamente elevati, puoi esigere un’autenticazione forte del cliente con la flag ThreeDsChallenge.
  3. Controlla l’autenticità dei dati della carta ed esegui una verifica dell’indirizzo avvalendoti del modulo Controllo dei dati del titolare della carta.
  4. Chiedi al tuo cliente, se possibile, di ripetere il pagamento con un altro mezzo di pagamento (eventualmente con la flag ThreeDsChallenge impostata).
  5. Cerca di identificare transazioni particolarmente rischiose ed esaminale con attenzione: molti dettagli utili, come ad esempio il Paese dell’indirizzo IP dell’acquirente e il Paese emittente della carta sono disponibili nei dettagli di transazione nel Backoffice Saferpay.

 

Cosa fare se comunque si verifica una frode?

Anche se si controlla con la massima attenzione, possono verificarsi delle contestazioni di addebito occasionali dovute ad una truffa. Finché si tratta di singoli casi, non c’è motivo di preoccuparsi. La situazione può però diventare critica se i costi derivanti da una truffa riducono notevolmente il tuo fatturato o se le organizzazioni di carte ti comminano delle sanzioni per via di un tasso di frode elevato.

Le possibili misure seguenti ti aiuteranno ad agire in modo corretto ed a non perdere tempo inutilmente in caso di frode:

  • Un numero eccessivo e anomalo di tentativi di pagamento per singole carte: digita il numero di emergenza centrale del tuo Paese per le carte di credito e riferisci l’ipotesi che i dati della carta possano essere finiti nelle mani sbagliate. Finché la circostanza non viene chiarita, puoi bloccare i numeri delle carte interessate nel Backoffice Saferpay nella configurazione Risk Management. Se le richieste di pagamento fanno riferimento a un singolo indirizzo IP, puoi anche bloccare tale indirizzo nel Risk Management, in modo che non vengano più accettati altri pagamenti da quella fonte.

  • Se hai avuto delle brutte esperienze con un cliente, per le transazioni future di questo cliente puoi valutare se esigere l’autenticazione forte del cliente con la flag ThreeDsChallenge, impostazione che può scongiurare in modo efficace molti casi di Friendly Fraud. Se la collaborazione con un cliente non va a buon fine, in linea di massima, nel Risk Management Saferpay puoi bloccare il mezzo di pagamento di questo cliente per le transazioni future.

  • Qualora constatassi dei ripetuti casi di truffa in alcune aree geografiche specifiche nelle quali vendi raramente, puoi valutare se bloccare completamente tali Paesi nel Backoffice Saferpay. Con il Risk Management Saferpay è possibile bloccare i Paesi sia in base alla provenienza della carta che in base alla provenienza dell’indirizzo IP utilizzato dall’acquirente. 

Siamo al tuo fianco per aiutarti

Un’analisi del rischio manuale approfondita richiede tempo e spesso, per grandi esercenti, non è fattibile in modo efficace sul piano dei costi. Se desideri ridurre il tuo tasso di frode, saremo lieti di aiutarti sia che si tratti di una problematica grave, sia se, pur avendo un tasso di frode già basso, desideri comunque proteggere ancora meglio ed ottimizzare ulteriormente il tuo fatturato. Abbiamo la soluzione giusta per le tue esigenze: rivolgiti a noi!

fraud_eu@worldline.com (Europa)
fraud@worldline.com (Svizzera)

Worldline Discovery Hub

For more information, contact david.daly@worldline.com